在 Microsoft Defender 中管理事件
事件管理对于确保事件命名、分配和标记以优化事件工作流中的时间并更快地包含和解决威胁至关重要。
在快速启动Microsoft Defender门户 (security.microsoft.com) 时,从调查 & 响应>事件 & 警报>事件管理事件。 下面是一个示例。
本文介绍如何执行与事件生命周期中不同阶段关联的各种事件管理任务。
- 编辑事件名称。
- 评估活动审核并在 活动日志中添加注释。
- 将事件数据导出为 PDF。
访问 “管理事件 ”窗格
可以从事件的 “管理事件 ”窗格访问其中大多数任务。 可以从多个位置中的任何一个访问此窗格。
从事件队列
在快速启动Microsoft Defender门户时,选择“调查 & 响应>事件 & 警报>事件”。
从事件队列中,通过以下两种方式之一访问 “管理事件 ”窗格:
从事件页
在快速启动Microsoft Defender门户时,选择“调查 & 响应>事件 & 警报>事件”。
从队列中选择事件的名称。 或者,选择队列中某个事件的行,然后从事件详细信息窗格中选择“ 打开事件页 ”。
在事件页中,从顶部面板中选择“ 管理事件 ”。
如果 “管理事件 ”不可见,请选择右上角的三个点, (以下屏幕截图中“管理事件”) 旁可见,然后从出现的菜单中选择它。
事件会审
以下管理任务与事件会审密切相关,但可以随时执行。
将事件分配给所有者
默认情况下,创建新事件时没有所有者。 理想情况下,SecOps 团队应制定机制和过程,以自动将事件分配给所有者。 在升级或错误的原始分配的情况下,可能需要重新分配事件。
分配所有者
若要手动将新所有者分配到事件,请执行以下步骤:
按照打开部分中的说明 访问 “管理事件 ”窗格。
选择“ 分配到 ”框。 此时会显示建议的被委托人的下拉列表。
如果看到要将事件分配到的用户或组帐户,请选择它。
否则,请在列表顶部的文本框中开始键入所需用户或组的名称或帐户 ID。 列表会动态更新,并按键入内容进行筛选。 看到所需的用户或组时,请选择它。
若要删除现有分配(包括刚刚添加的任何作业),请选择帐户名称旁边的 X 。 然后,如果要添加另一个分配,请选择“ 分配到 ”框。
只能将一个用户或组帐户分配给事件。
选择“保存”。
分配事件的所有权会将相同的所有权分配给与其关联的所有警报。
查看分配给特定所有者的事件
若要查看分配给特定用户或组的事件列表,请筛选事件队列:
从事件队列中选择“ 事件分配 ”筛选器。 此时会显示建议的被委托人的下拉列表。
如果在筛选器中看不到 事件分配 ,请选择“ 添加筛选器”,从下拉列表中选择“ 事件分配 ”,然后选择“ 添加”。
如果看到要显示其分配事件的用户帐户,请选择它。
否则,请在列表顶部的文本框中开始键入所需用户或组的名称或帐户 ID。 列表会动态更新,并按键入内容进行筛选。 看到所需的用户或组时,请选择它。
与分配事件不同,可以在此处选择多个受托人来筛选列表。 若要将另一个用户或组帐户添加到筛选器,请选择筛选器) 中现有帐户旁边的文本框 (,然后再次显示建议的被分配者列表。
选择“应用”。
若要在应用了当前筛选器的情况下保存指向事件队列的链接,请从事件队列页上的工具栏中选择“ 复制列表链接 ”。 在收藏夹或桌面上创建快捷方式,并将链接粘贴到其中。
分配或更改事件严重性
事件的严重性由与其关联的警报的最高严重性决定。 事件的严重性可以设置为 高、 中、 低或 信息性。
若要手动分配或更改事件的严重性,请执行以下步骤:
按照打开部分中的说明 访问 “管理事件 ”窗格。
从“管理事件”窗格的“严重性”下拉列表中选择要应用的严重性值。
选择“保存”。
添加事件标记
自定义标记可添加信息,以便为事件提供上下文。 例如,标记可以标记具有共同特征的一组事件。 标记是筛选的条件,因此稍后可以筛选包含特定标记的所有事件的事件队列。 若要对事件应用标记,请执行:
按照打开部分中的说明 访问 “管理事件 ”窗格。
在 “事件标记 ”字段中,开始键入要应用的标记的名称。 键入时,将显示以前使用的标记和所选标记的列表。 如果在列表中看到要应用的标记,请选择它。
如果键入了以前未使用的标记名称,请选择列表中的最后一个条目,即键入的文本,后跟“ (创建新) ”。
然后,该标记在“事件标记”字段中显示为标签。 重复此步骤,根据需要添加更多标记。
选择“保存”。
事件可以具有系统标记和/或具有特定颜色背景的自定义标记。 自定义标记使用白色背景,而系统标记通常使用红色或黑色背景色。 系统标记标识事件中的以下内容:
- 一 种攻击,如凭据钓鱼或 BEC 欺诈
- 自动操作,例如自动调查和响应以及自动攻击中断
- 处理事件的 Defender 专家
- 事件中涉及的关键资产
提示
Microsoft安全风险管理,基于预定义的分类,自动将设备、标识和云资源标记为关键资产。 这种开箱即用的功能可确保保护组织的宝贵和最重要的资产。 它还可帮助安全运营团队确定调查和修正的优先级。 详细了解 关键资产管理。
更改事件状态
事件以 活动状态开始生命。 处理事件时,将“状态”更改为“正在进行”。
事件调查和解决
以下管理任务与事件调查和解决密切相关,但可以随时执行这些任务。
解决事件
修正和解决事件后,请执行下列操作来记录解决方法:
按照打开部分中的说明 访问 “管理事件 ”窗格。
更改状态。 从“状态”下拉列表中选择“已解决”。 将事件的状态更改为“ 已解决”时,“ 状态 ”字段后会显示一个新字段。
在此字段中输入说明,说明为何认为事件已解决。 此说明显示在事件的活动日志中,位于记录事件解决的条目附近。
解决说明也显示在 事件详细信息面板中的事件 队列页和已解决事件的事件页。
选择“保存”。
解决事件还可以解决与事件相关的所有链接警报和活动警报。 未解决的事件显示为 “活动”。
指定事件的分类
解决事件时,或在事件调查的任何时间点,一旦意识到应如何对事件进行分类,请相应地设置 “分类 ”字段。
按照打开部分中的说明 访问 “管理事件 ”窗格。
从“ 分类 ”下拉列表中选择适当的值:
- 未 (默认) 设置。
- 具有某种威胁的真正值。 对于准确指示实际威胁的事件,请使用此分类。 指定威胁类型可帮助安全团队查看威胁模式,并采取措施以保护组织免受威胁。
- 具有某种类型活动的信息性预期活动。 使用此类别中的选项对安全测试、红队活动和受信任应用和用户的预期异常行为的事件进行分类。
- 对于确定的事件类型可以忽略的误报,因为它们在技术上不准确或具有误导性。
在以下屏幕截图中查看每个分类的可用活动和威胁类型。
选择“保存”。
对事件进行分类并指定其状态和类型有助于优化Microsoft Defender,以便随着时间的推移提供更好的检测确定。
向事件添加注释
在调查和事件过程中,添加注释以记录活动、见解和结论。
打开事件的活动日志。 从事件页或事件队列页上的事件详细信息面板中,选择右上角的三个点,然后从生成的菜单中选择“ 活动日志”。
在文本字段中键入注释。 注释字段支持文本和格式设置、链接和图像。 每个注释限制为 30,000 个字符。
选择“保存”。
所有注释都会添加到事件的历史事件中。 可以从“摘要”页上的“批注和历史记录”链接查看事件的批注和历史记录。
事件日志记录和报告
以下管理任务可以与事件调查的审核和报告相关联,但可以随时执行这些任务。
- 编辑事件名称。
- 评估活动审核并在 活动日志中添加注释。
- 将事件数据导出为 PDF。
编辑事件名称
Microsoft Defender根据警报属性(例如受影响的终结点数、受影响的用户、检测源或类别)自动分配名称。 事件名称使你能够快速了解事件的范围。 例如: 多个源报告的多个终结点上的多阶段事件。
若要编辑事件名称,请执行以下步骤:
按照打开部分中的说明 访问 “管理事件 ”窗格。
在“管理事件”窗格的“事件名称”字段中键入新名称。
选择“保存”。
注意
在推出自动事件命名功能之前存在的事件保留其名称。
如果另一个事件合并到重命名的事件中,Defender 会为事件提供一个新名称,覆盖事先为其指定的任何自定义名称。
查看事件的活动日志
执行事件事后调查时,请查看事件 的活动日志 ,以查看对事件执行的操作的历史记录, (称为“审核”) 以及记录的任何注释。 用户或系统对事件所做的所有更改都记录在活动日志中。
打开事件的活动日志。 从事件页或事件队列页上的事件详细信息面板中,选择右上角的三个点,然后从生成的菜单中选择“ 活动日志”。
按注释和操作筛选日志中的活动。 依次选择“ 内容:审核”、“批注 ”,然后选择要筛选活动的内容类型。 下面是一个示例。
选择“应用”。
还可以使用活动日志中提供的注释框 添加自己的 注释。 注释框接受文本和格式设置、链接和图像。
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
将事件数据导出到 PDF
可以通过“将事件导出为 PDF”函数将事件的数据 导出为 PDF ,并将其保存为 PDF 格式。 此函数允许安全团队在任何给定时间脱机查看事件的详细信息。
导出的事件数据包括以下信息:
下面是导出的 PDF 的示例:
如果你有 Copilot for Security 许可证,则导出的 PDF 包含以下附加事件数据:
Copilot 侧面板中也提供了导出到 PDF 功能。 在事件报告结果卡右上角选择“更多操作”省略号 (...) 时,可以选择“将事件导出为 PDF”。
若要生成 PDF,请执行以下步骤:
打开事件页面。 选择右上角的 “更多操作 ”省略号 (...) ,然后选择“ 将事件导出为 PDF”。
在接下来显示的对话框中,确认要在 PDF 中包含或排除的事件信息。 默认情况下会选择所有事件信息。 选择“ 导出 PDF ”以继续。
事件标题下方会显示一条指示下载当前状态的状态消息。 导出过程可能需要几分钟时间,具体取决于事件的复杂性和要导出的数据量。
此时会显示另一个对话框,指示 PDF 已准备就绪。 从对话框中选择“ 下载 ”,将 PDF 保存到设备。 事件标题下面的状态消息也会更新,以指示下载可用。
报表将缓存几分钟。 如果尝试在短时间内再次导出同一事件,系统会提供以前生成的 PDF。 若要生成较新版本的 PDF,请等待几分钟,让缓存过期。
后续步骤
对于新的事件和进程内事件,请继续 调查事件。
对于已解决的事件,请执行 事后评审。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。